Análisis de malware

AstraLocker lanza los descifradores de ransomware

7 de septiembre de por Pedro Tavares

Astralocker es una pieza de ransomware identificada por primera vez en. Probablemente sea una bifurcación del conocido Babuk y otros ransomware como Rook . La versión 2.0 de AstraLocker apareció en marzo de con un modus operandi nunca visto en otros ransomware. Difunde un documento de Microsoft Word armado para implementar el ransomware en el objetivo en lugar de comprometer el dispositivo y realizar un escenario de exfiltración de datos. De hecho, se trata de un tipo de operación diferente al de otros grupos de APT.

Según una publicación de ReversingLabs, la cadena de infección comienza con la difusión de un objeto OLE oculto con la carga útil del ransomware que se instalará en el lado de la víctima después de la primera ejecución.

1: Documento malicioso con el objeto OLE que contiene la carga útil del ransomware ( fuente ).

AstraLocker está protegido con un empaquetador obsoleto, SafeEngine Shielden v2.4.0.0 , que dificulta su análisis. Si el malware se ejecuta dentro de una máquina virtual, la ejecución finaliza y se muestra un cuadro de mensaje.

2: Técnicas anti-VM utilizadas por el ransomware AstraLocker.

Procesos terminados en tiempo de ejecución.

El ransomware normalmente busca procesos y servicios de destino durante su ejecución. Si se produce una coincidencia, el proceso de destino finaliza para tener el máximo impacto en el sistema de la víctima e incluso imposibilitar el proceso de recuperación de datos.

Aquí hay una lista completa de procesos de respaldo y antimalware:

vss, sql, svc$, memtas, mepocs, sophos, veeam, backup, GxVss, GxBlr, GxFWD, GxCVD, GxCIMgr, DefWatch, ccEvtMgr, ccSetMgr, SavRoam, RTVscan, QBFCService, QBIDPService, Intuit.QuickBooks.FCS, QBCFMonitorService, YooBack arriba , YooIT, zhudongfangyu, stc_raw_agent, VSNAPVSS, VeeamTransportSvc, VeeamDeploymentService, VeeamNFSSvc, PDVFSService, BackupExecVSSProvider, BackupExecAgentAccelerator, BackupExecAgentBrowser, BackupExecDiveciMediaService, BackupExecJobEngine, BackupExecManagementService, BackupExecRPCService, AcrSch 2Svc, AcronisAgent, CASAD2DWebSvc, CAARCUpdateSvc

Por otro lado, el ransomware también finaliza una lista codificada de procesos de destino que podrían interferir con el proceso de cifrado. Ellos son:

sql.exe, oracle.exe, ocssd.exe, dbsnmp.exe, synctime.exe, agntsvc.exe, isqlplussvc.exe, xfssvccon.exe, mydesktopservice.exe, ocautoupds.exe, encsvc.exe, firefox.exe, tbirdconfig. exe, mydesktopqos.exe, ocomm.exe, dbeng50.exe, sqbcoreservice.exe, excel.exe, infopath.exe, msaccess.exe, mspub.exe, onenote.exe, outlook.exe, powerpnt.exe, steam.exe, thebat.exe, thunderbird.exe, visio.exe, winword.exe, wordpad.exe, notepad.exe

Hacer imposible la recuperación de datos a través de VSS

Como es habitual, se utilizan instantáneas de volumen (VSS) para imposibilitar la recuperación de datos; VSS se elimina en tiempo de ejecución mediante el siguiente comando de terminal de Windows:

C:WindowsSystem32cmd.exe /c vssadmin.exe delete shadows /all /quiet

Proceso de cifrado

El proceso de cifrado se realiza mediante el algoritmo de criptografía de curva elíptica Curve25519. Todos los recursos compartidos y volúmenes disponibles se obtienen y dañan durante la ejecución del ransomware.

Después de eso, se suelta la nota del ransomware con instrucciones sobre cómo recuperar los datos perdidos.

3: Nota sobre el ransomware AstraLoker.

AstraLocker 2.0 cambia el nombre de los archivos con la extensión .babyk , pero se encuentran otras extensiones en diferentes muestras, como: .AstraLocker , .piton , .Astra y extensión aleatoria.

Los operadores de ransomware publicaron las claves de descifrado en línea

Según el sitio web Bleepingcomputer , «el actor de amenazas detrás del ransomware AstraLocker, menos conocido, dijo que cerrarán la operación y planean cambiar al cryptojacking».

Los operadores de ransomware enviaron un archivo ZIP con los datos de descifrado a la plataforma VirusTotal.

4: Claves de descifrado de AstraLocker 2.0 publicadas en línea .

El archivo contiene el material de descifrado necesario para recuperar archivos dañados en ataques anteriores de AstraLocker.

5: Material de descifrado de AstraLocker.

El material ha sido probado y ahora parece seguro recuperar completamente los sistemas dañados a través de AstraLocker. Además, el descifrado AstraLocker se agregó al proyecto NoMoreRansom, como se puede ver a continuación.

6: descifrado del ransomware AstraLocker disponible en el sitio web del proyecto NoMoreRansom .

Pensamientos finales

Varios tipos de malware salvajes utilizan documentos de Word armados para atacar a sus víctimas. Muchas veces, el éxito de las infecciones depende de que la víctima haga doble clic; este proceso se basa en una advertencia de seguridad. Con la introducción de la vulnerabilidad Folina, la interacción de la víctima ya no es necesaria y los delincuentes pueden aprovechar este escenario para enviar amenazas como ransomware a todo el mundo por correo electrónico.

Todas las organizaciones y víctimas de todo el mundo afectadas por el ransomware AstraLocker ahora pueden recuperar sus datos de forma gratuita porque el autor de la amenaza lanzó la herramienta de descifrado en línea.

Fuentes:

Análisis de ransomware torre , Infosec. Instituto de Recursos

AstraLocker ransomware , BleepingComputer

Análisis de AstraLocker , ReversingLabs

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *